Réalisée auprès d’anciens salariés aux États-Unis, au Royaume-Uni et en Irlande, une étude constate qu’une majorité a admis avoir conservé un accès permanent aux comptes de leur ancien employeur. La multiplication des démissions complexifie la tâche des DSI.
Les accès aux données doivent être parfaitement contrôlés. Et tous les DSI connaissent la règle du moindre privilège. N’empêche, le contrôle des accès et l’identification des salariés restent souvent un casse-tête pour des entreprises, quelle que soit leur taille.
Et ce constat devient plus que jamais inquiétant, notamment aux États-Unis où la Grande Démission touche de plus en plus d’entreprises. Initialement observée dans le secteur des services, cette augmentation des départs se généralise désormais dans toutes les industries.
Résultat, le taux des démissions s'élevait, en novembre dernier, à 3 % de la population, selon les données du Bureau américain des statistiques du travail.
De nombreuses entreprises sont de plus en plus confrontées à la question de savoir comment maintenir la cybersécurité dans un contexte de départs massifs de leur personnel. C’est ce que souligne une nouvelle fois cette élude de Beyond Identity qui a interrogé 1000 salariés et employeurs.
Si la majorité des salariés ayant participé à cette enquête a affirmé qu’ils avaient encore les accès aux comptes de leur ancien poste, le plus inquiétant est que la moitié reconnaissent avoir utilisé cet accès dans l'intention de nuire à leur ancien employeur !Et cette proportion monte à 70 % lorsque la personne a été licenciée !
Et ces accès permanents à des informations qui peuvent être sensibles, associés à des intentions souvent malveillantes, ont été catastrophiques pour ces entreprises en question.
Lorsque l'enquête s'est intéressée plus particulièrement aux réponses des managers et des chefs d'entreprise, 74 % d'entre eux ont admis que leur société avait subi les effets négatifs de cette mauvaise gestion des accès.
Les piratages et les infractions les plus courants sont :
- La connexion aux réseaux sociaux de l'entreprise (36 %)
- La consultation des emails professionnels (32 %)
- Le vol de fichiers et de documents de l'entreprise (31 %).
Plus d'un ancien employé sur quatre est même allé jusqu'à se connecter au backend du site web de l'entreprise.
Le processus de départ montre ses limites. Le plus souvent, il implique le manager ou le chef d’entreprise (33 %) ou un représentant des RH (31 %). Mais pour plus d'une personne interrogée sur dix, ce processus a été confié à un collègue de travail.
Et malgré les risques que représente le départ d'un employé pour la cybersécurité de l'entreprise, seuls 9 % des répondants se souviennent qu'un spécialiste en informatique a été impliqué dans leur départ…
En fait, seule la moitié des employeurs interrogés prenait les précautions les plus élémentaires pour la cybersécurité de leur entreprise. Par exemple, 50 % des personnes interrogées ont été invitées à rendre les appareils de l'entreprise.
L'une des méthodes de protection les plus efficaces et les plus faciles à mettre en œuvre, le changement de mots de passe, n'a été utilisée que par la moitié des dirigeants interrogés.
Seulement 41 % ont rendu les clés numériques ou tokens et seulement 35 % ont supprimé ou réinitialisé leurs comptes. Les employés n'ont pas non plus fait grand-chose pour protéger leur propre sécurité : 40 % seulement ont déclaré avoir effacé leurs informations personnelles des appareils de l'entreprise avant de les rendre, tandis que 38 % seulement ont mis en place un système de transfert d'emails.
Cette étude s'est également penchée sur les éléments et actifs numériques spécifiques auxquels les anciens employés avaient encore accès après leur départ (qu'il soit forcé ou volontaire).
Au total, 83 % des personnes interrogées ont déclaré avoir encore accès aux ressources numériques de leur ancien employeur. Les anciens employés ont également partagé les informations qu'ils ont activement choisi d'emporter avec eux.
Plus d'un tiers des anciens employés avaient encore accès à leur compte de messagerie de l'entreprise et à des documents liés au travail sur un appareil personnel.
En outre, les personnes interrogées ont souvent déclaré avoir délibérément emporté avec elles les coordonnées de leurs collègues (31 %), des conversations spécifiques avec des collègues qu'elles avaient sauvegardées (30 %) et même des idées potentiellement précieuses pour l'entreprise (27 %).
